De FBI heeft een waarschuwing afgegeven voor een ransomwaregroep genaamd "OnePercent" die organisaties via macro's in Word- en Excel-documenten infecteert. Volgens de Amerikaanse opsporingsdienst is de groep al sinds november 2020 verantwoordelijk voor ransomware-aanvallen tegen Amerikaanse organisaties (pdf).

De aanval begint met een zip-bestand dat via e-mail wordt verstuurd. Dit zip-bestand bevat weer een Word- of Excel-document met een malafide macro. Wanneer de ontvanger het zip-bestand opent en de macro in het document activeert wordt het systeem met IcedID trojan besmet. Vervolgens wordt via deze malware Cobalt Strike gedownload.

Cobalt Strike is een tool voor het uitvoeren van penetratietests op systemen en netwerken. Het wordt echter ook gebruikt door aanvallers voor het verder compromitteren van aangevallen organisaties. OnePercent gebruikt Cobalt Strike om zich lateraal door het netwerk van de aangevallen organisatie te bewegen. Zodra er gevoelige informatie is gevonden gebruiken de aanvallers het programma rclone om deze data te stelen.

Na de datadiefstal volgt de uitrol van de ransomware, die alle bestanden op besmette systemen versleutelt. De aanvallers maken vervolgens gebruik van gespoofte telefoonnummers om de getroffen organisatie te bellen, aldus de FBI. De aanvallers eisen ook met een vaste onderhandelaar te spreken, anders dreigen ze de gestolen data te publiceren.

De FBI geeft organisaties verschillende adviezen om zich te beschermen, waarbij ook wordt gewezen op het gebruik van het programma rclone. Zo kunnen organisaties letten op de verschillende hashes van de software. Verder volgen generieke adviezen, zoals het maken van offline back-ups, patchen van systemen, implementeren van netwerksegmentatie en het gebruik van multifactorauthenticatie.